Nx Console ve GitHub Depolarına Yönelik Tedarik Zinciri Saldırıları: CISA'dan Acil Uyarı Yazılım

Nx Console ve GitHub Depolarına Yönelik Tedarik Zinciri Saldırıları: CISA'dan Acil Uyarı

CISA, Nx Console VS Code eklentisi ve GitHub depolarını hedef alan tedarik zinciri saldırılarına karşı acil eylem çağrısı yapıyor.

CISA (ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı), yazılım tedarik zincirine yönelik birden fazla saldırı kampanyasına karşı acil müdahale çağrısında bulundu. Bu saldırılar, özellikle geliştirici ekosistemlerindeki CI/CD (Sürekli Entegrasyon/Sürekli Dağıtım) boru hatlarını hedef alıyor. Son olaylar arasında, kötü amaçlı bir Nx Console Visual Studio Code (VS Code) eklentisi aracılığıyla GitHub'ın tehlikeye atılması ve 'Megalodon' adlı tedarik zinciri saldırı kampanyası yer alıyor. Saldırganlar, kurumsal, bulut ve DevOps ortamlarını destekleyen araç ve süreçleri (CI/CD boru hatları, kod eklentileri ve iş akışları) istismar ediyor.

Saldırganlar, önceden ele geçirilmiş Nx geliştirici sistemlerini kullanarak, zehirli bir üçüncü taraf VS Code eklentisi aracılığıyla bir GitHub çalışanının cihazına sızdı. Bu saldırı, GitHub'ın dahili depolarına yetkisiz erişim ve veri sızıntısına yol açtı. Kötü amaçlı eklenti sürümü (18.95.0), VS Code'un otomatik güncelleme mekanizması aracılığıyla dağıtıldı. Bu, daha önce Nx Console yüklemiş olan sistemlerin, geliştiricilerin manuel bir işlem yapmasına gerek kalmadan kötü amaçlı yapıyı almış olabileceği anlamına geliyor. GitHub bu olayla ilgili bir güvenlik danışma belgesi yayınlarken, CVE-2026-48027 numarası kötü amaçlı Nx Console sürümüne atandı ve CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na eklendi.

Bunun yanı sıra, 'Megalodon' olarak bilinen bir kampanyada, siber tehdit aktörü, kamuya açık GitHub depolarındaki geliştirme ve dağıtım boru hatlarını etkileyen kötü amaçlı GitHub Action iş akışları enjekte etti. Bu iş akışları, CI/CD sırlarını, bulut kimlik bilgilerini ve token'ları toplamak için kullanıldı. Saldırı, hem geliştirme hem de dağıtım süreçlerini hedef alarak geniş bir etki yarattı. CISA, bu tür tehditlere karşı kuruluşların belirli önlemleri almasını tavsiye ediyor.

CISA, kuruluşların olası bir ihlali tespit etmek ve düzeltmek için aşağıdaki adımları atmasını öneriyor: İş akışı dosyalarını ve katkıda bulunan etkinliklerini şüpheli çekme istekleri ve doğrudan commit'ler açısından izleyin ve denetleyin; özellikle otomatik hesaplar (build-bot, auto-ci, ci-bot, pipeline-bot gibi) tarafından yapılanları inceleyin. Yetkisiz değişiklikleri, özellikle 18 Mayıs 2026'dan sonra yapılanları geri alın. Ayrıca, eğer kuruluşunuz daha önce tehlikeye atılmış GitHub veya Nx Console yazılımından kaynaklanan bir ihlal tespit ederse, CISA şu adımları öneriyor: CI/CD günlükleri, bulut denetim izleri ve etkilenen geliştirici makinelerinde adli inceleme yapın. API anahtarları, bulut sağlayıcı kimlik bilgileri (AWS, GCP, Azure), SSH anahtarları, Docker/npm/PyPI/Vault/Terraform/Kubernetes token'ları, GitHub/GitLab/Bitbucket token'ları ve geliştirici veya boru hattı sırları dahil olmak üzere CI/CD boru hatlarının erişebildiği tüm kimlik bilgilerini, token'ları ve sırları döndürün/iptal edin. Gerekirse ilgili paydaşları bilgilendirin.

Sistem Güvenliği

CISA, paket depolarını kullanırken aşağıdaki en iyi uygulamaları öneriyor: Yeni bir paketi çekmeden önce en az üç saat bekleyin. Bu, yazılım topluluğuna şüpheli veya kötü amaçlı paketleri geniş çapta indirilmeden önce tespit etme süresi tanır. Yazılımı belirli güvenilir sürümlere sabitleyin. Bu, derleme işlemi sırasında kötü amaçlı veya taranmamış bir paketin çekilmesini önler. Paketleri yalnızca bilinen ve güvenilir kaynaklardan çekin. Bu, kötü niyetli olarak çatallanmış bir paketi indirme olasılığını azaltır.

Bu saldırılar, yazılım geliştirme süreçlerinde kullanılan araçların ve otomasyonun güvenliğinin ne kadar kritik olduğunu bir kez daha ortaya koyuyor. Özellikle VS Code gibi yaygın kullanılan IDE eklentileri veya GitHub Actions gibi CI/CD araçları, tedarik zinciri saldırıları için cazip hedefler haline geliyor. Geliştiricilerin ve kuruluşların, yalnızca kendi kodlarını değil, aynı zamanda bağımlı oldukları üçüncü taraf bileşenleri ve otomasyon süreçlerini de sürekli olarak denetlemesi gerekiyor. CISA'nın önerdiği gecikmeli paket çekme ve sürüm sabitleme gibi basit önlemler bile büyük fark yaratabilir. Ayrıca, CI/CD boru hatlarında kullanılan sırların düzenli olarak döndürülmesi ve en az ayrıcalık ilkesinin uygulanması, olası bir ihlalin etkisini sınırlamak için hayati öneme sahiptir.

Kaynak: cisa.gov

Paylaş: